Il Garante per la protezione dei dati personali ha sanzionato con 4.000 euro un istituto di istruzione superiore del Sud Italia, per aver introdotto un sistema di rilevazione presenze basato sulla raccolta delle impronte digitali del personale amministrativo e tecnico (premere qui per leggere).
Il provvedimento affronta uno dei temi più delicati nella disciplina di protezione dei dati: il ricorso a dati biometrici in ambito lavorativo, settore nel quale il GDPR impone limiti particolarmente stringenti.
1. Il contesto: badge manomessi e sospetti di assenteismo
L’istituto scolastico aveva deciso di integrare il sistema tradizionale di timbratura con un lettore biometrico di impronte digitali, sostenendo che il badge fosse oggetto di abusi, manomissioni e utilizzi impropri.
Secondo la scuola il sistema sarebbe stato installato “a tutela del personale”, l’adozione sarebbe stata volontaria, basata sul consenso dei lavoratori e il dispositivo non conservava l’immagine dell’impronta, ma solo un “template” numerico.
Sulla base di tali presupposti, la dirigenza riteneva conforme la soluzione adottata.
2. I reclami dei dipendenti
Tre dipendenti hanno presentato reclamo lamentando che l’utilizzo delle impronte digitali fosse illegittimo e sproporzionato, poiché non previsto da alcuna norma e lesivo della loro libertà personale.
L’Autorità ha avviato dunque l’istruttoria per verificare la base giuridica del trattamento, la proporzionalità della misura rispetto alla finalità e l’eventuale validità del consenso.
3. Il funzionamento del sistema biometrico
Dalla documentazione tecnica acquisita, il Garante ha accertato che il sistema acquisiva le caratteristiche dell’impronta digitale, generava un modello matematico univoco associato al dipendente e utilizzava tale modello per convalidare le future timbrature.
Sebbene non conservasse l’immagine dell’impronta, il sistema trattava dati biometrici ai sensi dell’art. 4, punto 14 GDPR, in quanto destinati all’identificazione univoca dell’interessato.
4. Il quadro giuridico: perché il sistema è illecito
Il Garante ricostruisce in modo sistematico le condizioni di liceità del trattamento di dati biometrici in ambito lavorativo:
4.1 Il principio generale
Il trattamento di dati biometrici è vietato (art. 9 GDPR), salvo specifiche eccezioni.
4.2 La deroga in ambito lavorativo
Può essere consentito solo se:
- è necessario per adempiere obblighi di legge in materia di lavoro;
- è autorizzato da una norma nazionale;
- rispetta le misure di garanzia adottate dal Garante ai sensi dell’art. 2-septies Codice Privacy.
Nel caso di specie, nessuna norma autorizzava l’uso di impronte digitali per la rilevazione delle presenze.
Il precedente tentativo legislativo (art. 2 l. 56/2019, poi abrogato prima dell’attuazione) non costituiva alcuna base giuridica utilizzabile.
4.3 Il consenso non è una base valida
Il consenso dei dipendenti è inefficace in ambito lavorativo, per l’asimmetria di potere tra datore e lavoratore.
La volontà non può considerarsi libera, indipendente e non condizionata.
Pertanto:
Il consenso non può mai legittimare il trattamento di dati biometrici per rilevare le presenze.
5. Le ragioni dell’illiceità
Il Garante ha accertato la violazione degli artt. 5, par. 1, lett. a) (liceità, correttezza, trasparenza), 6 (base giuridica) e 9 GDPR (trattamento di categorie particolari di dati), poiché:
- il sistema non era necessario alla rilevazione delle presenze;
- erano disponibili strumenti meno invasivi (badge tradizionale);
- mancava un fondamento normativo adeguato;
- il trattamento incideva sulla dignità e identità personale dei lavoratori;
- il titolare non aveva consultato il DPO e si era basato solo sulle rassicurazioni tecniche del fornitore.
6. La decisione
Il Garante ha:
- dichiarato illecito il trattamento dei dati biometrici;
- riconosciuto la gravità della violazione, stante la natura dei dati;
- applicato una sanzione amministrativa di 4.000 euro, considerata efficace e dissuasiva ma proporzionata alla natura dell’ente pubblico (istituto scolastico);
- disposto la pubblicazione del provvedimento;
- preso atto che il sistema era stato sospeso e i dati biometrici cancellati.
7. Considerazioni conclusive
Il provvedimento ribadisce un principio consolidato:
non è lecito utilizzare sistemi biometrici per la rilevazione delle presenze del personale, salvo specifica e puntuale previsione normativa.
La gestione disciplinare o organizzativa non può mai giustificare il ricorso a tecnologie invasive quando esistono soluzioni alternative idonee e meno lesive.
Il trattamento di dati biometrici richiede sempre una base giuridica con rango normativo, oltre che garanzie tecniche e organizzative rafforzate ed una valutazione di proporzionalità stringente.
Sull'autore
